Запрет записи на USB-Flash в GPO

Создаем flash_block.bat с содержанием: 

REG ADD «HKLMSystemCurrentControlSetControlStorageDevicePolicies» /v «WriteProtect» /t «REG_DWORD» /d «1» /f

В домене:
Пользователи и компьютеры — правой конпкой клик на объект групповой политики (в моем случае Office
Запрет записи на USB-Flash в GPO 4

Вкладка «Групповая политика» — создать.
Называем созданную политику как хотим
Заходим в «Свойства», вкладка «Безопастность».
Группу «прошедшие проверку» удаляем, добавляем нужных пользователей (либо группу) и ставим галку «Применение групповой политики» (на каждом пользователе/группе)
Жмем «применить», «ок».

Возвращаемся во вкладку  «Групповая политика»
Выделяем созданную политики — Изменить

Конфигурация пользователя — Конфигурация Windows — Сценарии (Вход/Выход) — Вход в систему
Добавляем наш  flash_block.bat  (должен лежать в общем сетевом хранилище)
Запрет записи на USB-Flash в GPO 5


Далее все закрываем, запускаем коммандную строку и выполняем в ней gpupdate/force, чтоб применились групповые политикик

Авторизируемся с учетной записью, на которой запретили запись на флэшки и проверяем.

PS. Чтоб вернуть возможность записи: либо снесите ветку реестра, либо выполните батник flash_unblock.bat с содержанием:

REG ADD «HKLMSystemCurrentControlSetControlStorageDevicePolicies» /v «WriteProtect» /t «REG_DWORD» /d «0» /f

PPS. Проверена работоспособность в Windiws XP (sp2, sp3) и Windows 7.

Максим Макаров

У блога появился хостинг, его любезно предоставила компания Облакотека. Облакотека - облачные сервисы для создания и управления виртуальной ИТ-инфраструктурой.
Если вам понравился мой блог и вы хотели бы видеть на нем еще больше полезных статей, большая просьба поддержать этот ресурс.

Оцените автора
IT Draft
Добавить комментарий

Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности.